Ana Sayfa Çözümler Hizmetler Çözüm Ortakları Neden Netsmart? Kariyer Keşif İletişim

Netsmart Bilişim Sistemleri A.Ş.

Esentepe Mh. Ecza Sk. No: 6 K: 1, 34394,
Şişli-İstanbul, Türkiye

+90212-274-31-61

[email protected]

Entegrasyon

ICAP ile Forcepoint DLP ve FileOrbis Entegrasyonu

Data Loss Preventation (DLP) , hassas kişisel veya kurumsal verilerin yetkisiz kişiler tarafından erişilmesini veya sızdırılmasını önlemek amacıyla uygulanan prosedürlerdir.

ICAP ile Forcepoint DLP ve FileOrbis Entegrasyonu'na dair tüm detayları bir arada bulabileceğiniz bu makale veri korumayı artırın.

Forcepoint DLP çözümü, veri şifreleme, veri denetimi, veri sınıflandırma ve veri keşfi ile potansiyel veri kaybını önlemeyi amaçlamaktadır. Forcepoint DLP ile konfigüre edilmiş güvenlik politikaları, kurumların sahip oldukları ağ içerisinde kullanımda olan (data-in-use), hareket halinde olan (data-in-motion) ve durağan halindeki (data-at-rest) verilerinin tespitini ve korunmasını amaçlar.

DLP politikaları, kullanıcıların verileri nasıl kullanabileceğini belirleyen koşulları içerir. Bir DLP politikasında yandaki unsurlar yer alır:

  • Politika Bilgisi; hassas veri olarak tanımlanan, kişisel olarak tanımlanabilir bilgiler (PII), korunan sağlık bilgileri (PHI), kredi kartı bilgileri vb. içerir.
  • Hassasiyet ve Eylem Planı; sistem üzerinde tespit edilen her olay (incident) veya belirli eşik değerine ulaşan olaylar için bir önem seviyesi atanır. Atanan hassasiyet derecesine uygun olarak, izleme, engelleme veya şifreleme gibi eylem planları tetiklenir.
  • Kullanıcılar; politikalar spesfik kullanıcılar veya kulanıcı grupları için konfigüre edilebilir.
  • Hedef; veriler web üzerinden, bulut hizmeti üzerinden veya bir uç noktadan erişilebilir ve e-posta ile gönderilebilir.

Pandemi sonrası kuruluşlarda uzaktan çalışma modelinin yaygınlaşması gibi çevresel faktörlerden kaynaklı olarak çalışanların şirket verilerine ofis dışında erişimleri gerekebilir. Bu nedenle, veri erişiminin güvenli ve yetkilendirilmiş bir şekilde yapılması, kuruluşların belirlediği güvenlik standartları ile kontrol edilmelidir.

FileOrbis, kuruluşlar ve kullanıcılar arasındaki dosya aktarımını ve dosya yönetimini güvenli bir şekilde gerçekleştirmeyi amaçlayan bir platformdur. Dosya sunucularını ve şirket içi veya bulut tabanlı depolama sistemlerini yöneterek, dosyalar için merkezi bir erişim kanalı ve entegre bir yönetim sistemi sağlar.

Dosya şifreleme, kullanıcı erişimlerinin izlenmesi ve yönetilmesi, yedeklilik gibi güvenlik önlemleri ile dosyaların korunmasını sağlar. Ayrıca, kullanıcıların dosya erişimini ve yetkilendirilmesini sağlarken, dosyaların etiketlenmesi ve yönetim politikalarının atanan etiketlere göre uygulanmasını da destekler.

FileOrbis’in Farklı Kanallar ve Uygulamalar ile Entegrasyonları

Bu yazıda, Forcepoint DLP farmına ait Protector bileşeninde ICAP protokolü kullanılarak FileOrbis entegrasyonu sağlanmış ve dosya erişiminde veri güvenliğini uygulamak amaçlanmıştır. Protector, MTA (Mail Transfer Agent) görevini yerine getirerek web trafiğini izler ve raporlar, e-posta trafiğini şifreler, engeller veya karantinaya alır. Aynı zamanda HTTP ve HTTPS kanalları üzerinden ICAP (Internet Content Adaptation Protocol) protokolü ile üçüncü taraf bir proxy ile entegre olarak DLP taramasını destekler.

FileOrbis, dosyaların TLS üzerinden ICAP ile Forcepoint DLP’ye gönderilmesini sağlar. Forcepoint DLP sistemine sahip kuruluşlar, DLP üzerinde tanımlanmış güvenlik politikalarını Protector aracılığıyla FileOrbis üzerindeki dosya trafiğinde konfigüre edebilirler.

1. Forcepoint DLP Protector üzerinde ICAP Konfigürasyonu

FSM arayüzüne erişim sağlandıktan sonra, Deployment menüsünden System Modules sekmesine
gidilir ve Protector içerisinden ICAP Server seçilerek konfigürasyon yapılır.

  • General sekmesi içerisinde ICAP Server “Enable” seçeneği aktif edilir.
  • Name seçeneğinde, Protector kurulurken atanmış hostname görüntülenir.
  • Ports seçeneğinde, ICAP işlemlerini izleyecek port veya portların değerleri girilir. Birden fazla port girerken değerler virgül (,) ile ayrılmalıdır (örneğin: 1344,1343).
  • “Allow connection to this ICAP Server from the following IP addresses” ile, ICAP sunucusunun seçili IP adresleri veya tüm IP adreslerinden gelen bağlantılara izin verilip verilmeyeceği belirlenir.
  • HTTP/HTTPS sekmesinde Mode sekmesinde, iki ayrı mod vardır. Monitoring mod, HTTP trafiğini görüntüler fakat, kanal üzerinde bloklama sağlamaz. 
  • “When an unspecified error occurs” , veri akışında bir sorun olması ve trafiğin analiz edilemediği durumlarda alınacak aksiyonun belirlenmesini sağlar.

2. DLP Politikası Konfigüre edilmesi

Forcepoint DLP Protector ile FileOrbis üzerinde dosya transferlerinin takibini sağlamak için, DLP üzerinde spesifik gereksinimlere yönelik kurallar oluşturulmalıdır. Bu yazıda anlaşılabilirlik sağlamak amacıyla, Forcepoint DLP içinde Türkiye Cumhuriyeti Numarası için hazırlanmış “script” koşulu kullanılmıştır. Kuruluş gereksinimlerine ve dosya içeriklerine göre ilgili politikalar konfigüre edilebilir.

Politika konfigürasyonu sırasında dikkat edilmesi gereken nokta, Destination sekmesinde HTTP/HTTPS kanalının aktif edilmesidir.

Ayrıca, Severity & Action (Eylem Planı ve Hassasiyet Dereceleri) kısmında, aksiyon planı yanında yer alan “view or edit this action plan” imgesi kullanılarak, HTTP/HTTPS üzerinden alınacak aksiyonlar belirlenmelidir.

Bu yazıda, FileOrbis üzerinde işlenen dosya içerisinde bir adet TCKN bulunması durumunda sadece “Audit Only” yani kanallarda gerçekleşen olayların loglanmasını ve raporlanmasını sağlama amacı güdülmüştür. FileOrbis üzerinde işlem yapılmak istenen dosyada 3 veya daha fazla TCKN verisi bulunduğunda, sistemin ilgili aktiviteyi bloklaması sağlanmıştır.

Yapılan konfigürasyonlar tamamlandıktan sonra sağ altta bulunan OK butonu ile işlem tamamlanır ve ekranda çıkan pop-up ile yapılan konfigürasyonlar sistem üzerinde kaydedilir.

3. FileOrbis üzerinde ICAP Konfigürasyonu

Forcepoint DLP tarafında politika ve ICAP konfigürasyonu tamamlandıktan sonra, FileOrbis platformunun Yönetim Portalına giriş yapılması gerekmektedir. Portal üzerinden Security menüsü seçilir ve gerekli entegrasyonlar DLP menüsünden sağlanır.

NiteliklerAçıklama
Request UriICAP sunucusuna ait IP bilgileri ve port bilgisi konfigüre edilmelidir. 

Örn: icap://ip address:1344/reqmod

Response UriICAP sunucusuna ait IP bilgileri ve port bilgisi konfigüre edilmelidir.

Örn: icap://ip address:1344/reqmod

Request TimeoutICAP maksimum zaman aşımı konfigüre edilir.
Max File SizeICAP ile DLP’ye gönderilecek maksimum dosya boyutu konfigüre edilir.
Max ConnectionsDLP ve ICAP arasındaki maksimum bağlantı sayısı konfigüre edilir.
Exclude ExtensionsSpesifik olarak belirtilen dosya uzantıların FileOrbis’ten ,DLP’deki ICAP’a gönderilmesini engellemek için konfigüre edilebilir. 

Örn: .txt,.pptx gibi.

X-Authenticated-UserForcepoint DLP üzerinde ilgili olayları görüntülemek veya raporlamak için kullanılan kullanıcı bilgilerini görüntülemek için konfigüre edilir.
Default ActionsBurada yer alan kurallar aktif ise, FileOrbis işlem DLP’ye ulaşmadan önce, eylemi durduracaktır.
Operation ScopeDLP’nin sistem üzerinde hangi hizmetler üzerinde, hangi eylemler ile izin verileceği konfigüre edilir.
IP ScopeForcepoint DLP üzerinde set edilen kurallarda izin verilmesi veya bloklanması istenilen IP veya XFF bilgileri konfigüre edilir.

Konfigürasyonlar tamamlandıktan sonra sağ üstte bulunan “Check Configuration” ile yapılan konfigürasyonların sağlaması yapılır. Konfigürasyonlarda herhangi bir sistemsel sorun bulunmazsa, “Configuration Check Succeed” mesajı görüntülenir ve ardından “Save” ile sistem üzerinde konfigürasyonlar kaydedilir.

Forcepoint DLP üzerinde, set edilmiş olan kurallarda blok eylem planı konfigüre edilmemiş ise, FileOrbis üzerinden işlem gerçekleştiren kullanıcılar, DLP kurallarını ihlal etseler bile, işlemlerine devam ederler.

Forcepoint DLP üzerinde blok eylem planı konfigüre edilmemişse, FileOrbis üzerinden işlem gerçekleştiren kullanıcılar, DLP kurallarını ihlal etseler bile işlemlerine devam ederler. Eğer DLP kurallarında blok kuralı konfigüre edilmişse, FileOrbis üzerinden işlem gerçekleştiren kullanıcılar, DLP kuralını ihlal ettiklerinde FileOrbis üzerinde bir uyarı mesajı görüntülenir.

Politika ihlallerinin raporlaması Forcepoint DLP konsolu üzerinden veya FileOrbis üzerinde Management Portal üzerinden Usage Reports üzerinden görüntülenebilir.

Forcepoint DLP kurallarının FileOrbis ile Kontrolü

Forcepoint DLP üzerinde set edilmiş kurallar ile eşleşen dosyaları FileOrbis üzerinden yüklemeyi deneyin. Bu yazıda set edilmiş olan TCKN kuralı için hazırlanan, TCKN bilgileri içeren .txt uzantılı dosya denenmiştir.

İlgili olaya dair raporlamaya Forcepoint DLP arayüzüne giriş sonrası, Reporting menüsünden, Data Loss Preventation > Incident sayfasından görüntüleyebilirsiniz.

İlgili aktivitenin, FileOrbis tarafında bilgilerini konfigüre etmiş olduğumuz ICAP sunucusu tarafından saptanmış olduğunu, Properties sekmesinden görüntüleyebilirsiniz.

Destination altında, ilgili dosyanın FileOrbis üzerine yüklenmesi ile ilgili aktivitede /Upload , ilgili dosyaların indirilmesi ile gerçekleşen olaylarda /Download ile ayrıştırılması yapılabilir.

Bu yazıda, Forcepoint DLP Protector bileşeni kullanılarak ICAP protokolü ile FileOrbis üzerindeki dosya transferlerinde veri güvenliğine yönelik entegrasyon adımları detaylandırılmıştır. Bu entegrasyon, FileOrbis ve Forcepoint DLP çözümlerine sahip kuruluşlar için merkezi bir güvenlik yönetimi sunarak veri kaybına karşı etkin bir koruma sağlamayı hedeflemektedir.

Kaynakça

  1. Forcepoint Integration with FileOrbis Guide
  2. https://fileorbis.atlassian.net

Esin Derin

 - 14 Eylül 2024, Cumartesi

Kuantum Tehdidine Karşı Güvenlikte Yeni Çağ: Post-Quantum Kriptografi ve Yol Haritası

Analiz

Kuantum bilgisayarlar, klasik bilgisayarların ötesine geçen hesaplama yetenekleriyle, modern kriptografi altyapılarını tehdit eden yeni bir dönemi beraberinde getirmektedir.

Daha fazla
SIEM Projelerinde WEF’in Faydaları ve WEF Konfigürasyonu

SIEM Projelerinde WEF’in Faydaları ve WEF Konfigürasyonu

Konfigürasyon

Windows Event Forwarding, Windows tabanlı sistemlerde yerel olarak desteklenen günlük merkezileştirme özellikleri sağlar. Microsoft, sunucular üzerindeki logların tek bir yerde toplanması WEF mimarisi ile sağlamaktadır.

Daha fazla

Veri Koruma Günü

Analiz

Veri Koruma Günü, her yıl 28 Ocak’ta, kişisel verilerin korunması ve veri gizliliği konusunda farkındalık yaratmak amacıyla belirlenmiş bir gündür.

Daha fazla
USOM URL listesinin Arcsight ESM ile entegrasyonu

USOM URL listesinin Arcsight ESM ile entegrasyonu

Entegrasyon

USOM, Ulusal Siber Olaylara Müdahale Merkezi kelimelerinin kısaltmasıdır. USOM, 2013’de “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” 4.maddesi dahilinde BTK bünyesinde kurulmuştur.

Daha fazla